Tim peneliti dari Netskope Threat Labs mengungkap keberadaan malware backdoor baru yang ditulis menggunakan bahasa pemrograman Golang dan memanfaatkan aplikasi perpesanan Telegram sebagai saluran command-and-control (C2).

Malware ini dinilai masih dalam tahap pengembangan, namun sudah menunjukkan fungsionalitas penuh yang memungkinkan peretas mengendalikan sistem yang terinfeksi dari jarak jauh.

“Malware ini dikompilasi dalam Golang dan, begitu dijalankan, langsung bertindak sebagai backdoor,” jelas peneliti keamanan Leandro Fróes dalam laporannya. “Meskipun masih dalam pengembangan, malware ini sepenuhnya berfungsi.”

Keunikan utama dari malware ini adalah penggunaan Telegram Bot API untuk mengirim dan menerima perintah dari server C2. Melalui integrasi dengan pustaka open-source yang menghubungkan Golang dan Telegram, pelaku kejahatan siber dapat mengakses sistem yang terinfeksi dan mengirimkan perintah melalui obrolan pribadi yang mereka kontrol.

Saat ini, ada empat perintah utama yang didukung oleh malware tersebut, meskipun hanya tiga yang telah diimplementasikan sepenuhnya:

• /cmd – Menjalankan perintah melalui PowerShell
• /persist – Memastikan malware tetap berjalan dengan menyalin dirinya ke direktori C:\Windows\Temp\svchost.exe
• /screenshot – Belum diimplementasikan meskipun mengirim pesan “Screenshot captured”
• /selfdestruct – Menghapus file backdoor dan menghentikan prosesnya sendiri

Meskipun belum ada konfirmasi resmi mengenai aktor di balik serangan ini, penggunaan bahasa Rusia dalam pesan Telegram – seperti perintah "Masukkan perintah:" yang dikirim saat menjalankan /cmd – menunjukkan kemungkinan asal malware dari Rusia.

Fróes juga menyoroti bahwa pelaku kejahatan semakin memanfaatkan aplikasi berbasis cloud seperti Telegram karena kemudahan pengaturan dan adopsinya yang luas di berbagai perangkat.

“Penggunaan aplikasi cloud menciptakan tantangan kompleks bagi para pembela sistem, dan para penyerang menyadari hal itu,” tambahnya. “Aplikasi seperti Telegram sering digunakan dalam berbagai fase serangan karena kemudahannya dalam dikonfigurasi dan diakses.”

Meski metode menggunakan aplikasi populer sebagai jalur kontrol bukan hal baru, penyalahgunaan Telegram dalam malware ini menegaskan kembali perlunya organisasi memperkuat deteksi terhadap komunikasi keluar yang mencurigakan serta memperbarui sistem keamanan endpoint mereka.

Malware seperti ini juga menjadi pengingat bahwa tidak semua serangan datang melalui jalur konvensional seperti email phishing atau situs web berbahaya—kadang, mereka tersembunyi dalam aplikasi sehari-hari yang terlihat sah.